2022年1月(1月1日~1月31日)と2月(2月1日~2月28日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

  • 国内マルウェア検出数の推移(2021年9月の全検出数を100%として比較)

    国内マルウェア検出数*1の推移
    (2021年9月の全検出数を100%として比較)
    *1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

2022年1月と2月の国内マルウェア検出数は、2021年12月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数*2上位(2022年1月・2月)

順位
マルウェア名
割合
種別
1
 JS/Adware.Agent 10.9% アドウェア
2
 HTML/Phishing.Agent 9.6% メールに添付された不正なHTMLファイル
3
 HTML/ScrInject 8.0% HTMLに埋め込まれた不正スクリプト
4
 JS/Adware.Sculinst 7.5% アドウェア
5
 HTML/FakeAlert 5.4% 偽の警告文を表示させるHTMLファイル
6
 JS/Adware.TerraClicks 5.0% アドウェア
7
 DOC/TrojanDownloader.Agent 3.1% ダウンローダー
8
 JS/ScrInject 2.1% 不正なJavaScriptの汎用検出名
9
 MSIL/Kryptik 1.8% 難読化されたMSILで作成されたファイルの汎用検出名
10
 JS/Adware.Subprop 1.6% アドウェア

*2 本表にはPUAを含めていません。

各月の内訳をご覧になりたい方は、こちらをクリックしてください。

国内マルウェア検出数*2上位(2022年1月)

順位
マルウェア名
割合
種別
1
 HTML/ScrInject 12.8% HTMLに埋め込まれた不正スクリプト
2
 JS/Adware.Agent 12.0% アドウェア
3
 HTML/Phishing.Agent 9.2% メールに添付された不正なHTMLファイル
4
 JS/Adware.Sculinst 7.7% アドウェア
5
 HTML/FakeAlert 6.0% 偽の警告文を表示させるHTMLファイル
6
 JS/Adware.TerraClicks 4.4% アドウェア
7
 JS/Adware.Subprop 2.1% アドウェア
8
 JS/ScrInject 2.1% 不正なJavaScriptの汎用検出名
9
 MSIL/Kryptik 1.6% 難読化されたMSILで作成されたファイルの汎用検出名
10
 JS/Agent 1.2% 不正なJavaScriptの汎用検出名

国内マルウェア検出数*2上位(2022年2月)

順位
マルウェア名
割合
種別
1
 HTML/Phishing.Agent 22.1% メールに添付された不正なHTMLファイル
2
 JS/Adware.Agent 12.5% アドウェア
3
 JS/Adware.Sculinst 8.3% アドウェア
4
 JS/Adware.TerraClicks 4.2% アドウェア
5
 DOC/TrojanDownloader.Agent 3.5% ダウンローダー
6
 HTML/FakeAlert 2.4% 偽の警告文を表示させるHTMLファイル
7
 HTML/ScrInject 1.5% HTMLに埋め込まれた不正スクリプト
8
 GenScript 1.3% 不正スクリプトの汎用名
9
 VBA/TrojanDownloader.Agent 1.1% ダウンローダー
10
 JS/ScrInject 0.9% 不正なJavaScriptの汎用検出名

*2 本表にはPUAを含めていません。

1月と2月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。Webサイト閲覧時に実行されます。

2021年11月にEmotetが活動再開して大きな話題となりましたが、2022年1月と2月も11月に引き続き観測されています。特に2月以降は、急速に感染拡大している状況が確認されています。例えばJPCERT/CCは、Emotetに感染したことでメール送信に悪用される可能性のある.jpドメインのメールアドレス数について報告しています*3。この報告によると、該当するメールアドレス数は、2月時点ではEmotetの感染が急拡大した2020年に迫る勢いとなっており、さらに3月に入ると2020年の感染ピーク時の5倍以上に急増しています。

また2021年11月 マルウェアレポートの中で、Emotetダウンローダーの検出名を紹介しましたが、これらの検出数は2月頃から急激に増加しています。特にDOC/TrojanDownloader.Agentについては1月2月の検出数7位に入っており、国内で脅威が拡大していることがわかります。

  • Emotetダウンローダーに関連する*4国内検出数の推移(2021年11月~2022年2月28日)

    Emotetダウンローダーに関連する*4国内検出数の推移
    (2021年11月~2022年2月28日)

*4 凡例に示した3つの検出名は、さまざまなマルウェアのダウンローダーに対する検出名です。よって図のデータには、Emotet以外のマルウェアのダウンローダー検出数を含んでいます。

2月の急拡大においては、Emotetのばらまきメールとして、以前から観測されているパスワード付きZIP圧縮ファイルが添付されたメールを観測しています。メール本文に記載されたパスワードで圧縮ファイルを解凍すると、Microsoft Officeファイル形式のEmotetダウンローダーが展開されます。

  • 2022年2月に観測したばらまきメールの例

    2022年2月に観測したばらまきメールの例

  • メールに添付されたZIP圧縮ファイルから展開されるEmotetダウンローダーの例

    メールに添付されたZIP圧縮ファイルから展開されるEmotetダウンローダーの例

2021年11月のマルウェアレポートに掲載したダウンローダーの例では、VBAマクロを使用したEmotetのダウンロード処理が実装されていました。しかし、2022年2月に広まったダウンローダーの一部には、Excel 4.0マクロによって実装されているファイルも確認しています。上記の画像で示したダウンローダーもその1つです。

Excel 4.0マクロとは別名XLMとも呼ばれ、VBAの実装以前から存在するマクロです。VBE(Visual Basic Editor)に記述するVBAとは異なり、マクロシートと呼ばれるシートのセル内にコードを記述します。Microsoft ExcelにVBAが実装された後も、互換性維持の目的でExcel 4.0マクロは機能を残しています。そのため、セキュリティ製品による検出から逃れたり、マルウェア解析者による解析を困難にしたりする目的で、この機能をマルウェアに悪用されることがあります。

画像のダウンローダーの例では、「Sheet」という名前のシート以外に、いくつかのシートが非表示として設定されています。これはターゲットとなるユーザーから、マクロが記述されたシートの存在を隠ぺいする目的があると考えられます。

  • 非表示設定がされているシートの一覧

    非表示設定がされているシートの一覧

さらに非表示シートの1つである「EFWFSFG」を表示すると、「Auto_Open」と呼ばれる組み込み関数が、D1セルに設定されていることを確認できます。この「Auto_Open」により、同じD列に記述されている難読化が施されたコードが、Excelファイルを開いてコンテンツの有効化を行った際に自動で実行されます。

  • ファイルの作成者によって定義された名前の一覧

    ファイルの作成者によって定義された名前の一覧

  • マクロシートのセルに記述されている難読化が施されたコード

    マクロシートのセルに記述されている難読化が施されたコード

Excel 4.0マクロの解析ツール*5を使用してコードの詳細を見てみると、以下の処理が行われることがわかります。

  1. Win32のAPI関数であるURLDownloadToFileAを呼び出し、通信先から取得したデータをaua.ocxというファイル名で保存する
  2. Excel 4.0マクロのCLOSE関数を呼び出し、ワークシートを閉じる
  3. aua.ocxをregsvr32.exeによって実行する

以上のように、Excel 4.0マクロを使用して、マルウェアのダウンローダー機能を実装することができます。また、シートの非表示機能やコードの難読化を行うなど、悪性のファイルであることを判別しにくく、解析が困難になるような工夫も施される場合があります。

  • 難読化を解除したExcel 4.0マクロのコード

    難読化を解除したExcel 4.0マクロのコード

先述したとおり、2021年11月にEmotetの活動が再開し、さらに2022年2月には脅威が急激に拡大しています。今回紹介したExcel 4.0マクロは、最新のMicrosoft Excelではデフォルトで無効となっている*6ため、被害に遭わないためには早急にアップデートすることが重要です。また、2021年サイバーセキュリティレポートの第2章で言及したように、このようなアップデートによって、攻撃者が使用するダウンローダーに変化が生じる可能性も考えられるため、今後の動向に注意が必要です。

常日頃からリスク軽減するための対策について


各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. セキュリティ製品の適切な利用

1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。

1-2. 複数の層で守る
1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。

2. 脆弱性への対応

2-1. セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。

2-2. 脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。

3. セキュリティ教育と体制構築

3-1. 脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。

3-2. インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。

4. 情報収集と情報共有

4-1. 情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。

4-2. 情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

引用・出典元


■マルウェアEmotetの感染再拡大に関する注意喚起 | 一般社団法人JPCERTコーディネーションセンター
https://www.jpcert.or.jp/at/2022/at220006.html

■Excel 4 Macro Analysis: XLMMacroDeobfuscator | SANS Internet Storm Center
https://isc.sans.edu/forums/diary/Excel+4+Macro+Analysis+XLMMacroDeobfuscator/26110/

■Excel 4.0 (XLM) macros now restricted by default for customer protection | Microsoft Tech Community
https://techcommunity.microsoft.com/t5/excel-blog/excel-4-0-xlm-macros-now-restricted-by-default-for-customer/ba-p/3057905

※ESETは、ESET, spol. s r.o.の登録商標です。Microsoft、Windows、ExcelおよびVisual Basicは、米国Microsoft Corporationの、米国、日本およびその他の国における登録商標または商標です。
※本記事はキヤノンマーケティングジャパンのオウンドメディア「サイバーセキュリティ情報局」から提供を受けております。著作権は同社に帰属します。

セキュリティ最前線


サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。

[PR]提供:キヤノンマーケティングジャパン